La aplicación de Android prometió ofrecer actualizaciones de noticias, en cambio sirvió a ESET con un ataque DDoS


ESET se ha visto obligado a defenderse de un ataque DDoS facilitado por una aplicación de noticias maliciosas alojada en Google Participate in Retailer.

El lunes, el investigador de ESET Lukas Stefanko describió cómo la aplicación, llamada «Actualizaciones para Android», prometió a los usuarios un servicio de noticias diario gratuito. La aplicación parecía reunir buenas críticas con una puntuación normal de 4.3, pero en secreto, el software package estaba creando un bot de dispositivos esclavos para lanzar ataques de denegación de servicio distribuido (DDoS).

Subida por primera vez a Google Perform el 9 de septiembre de 2019, la aplicación de Android demostró ser popular y representó más de 50,000 instalaciones en su apogeo.

screenshot-2020-05-12-at-08-35-03.png

ESET

Las actualizaciones para Android se hicieron pasar por program legítimo al ofrecer algunas fuentes de noticias y solo introdujeron funcionalidades que podrían ser abusadas con fines maliciosos en su actualización más reciente.

«No sabemos cuántas instancias de la aplicación se instalaron después de la actualización o se actualizaron a la versión maliciosa», señaló ESET.

Ver también: El gigante logístico Toll Team golpeado por ransomware por segunda vez en tres meses

La funcionalidad en cuestión es la «capacidad de cargar JavaScript desde un servidor controlado por el atacante y ejecutarlo en el dispositivo del usuario», según los investigadores. Como esta característica fue una adición tardía y solo apareció dos semanas antes del ataque, el equipo dice que esto explica por qué la aplicación logró eludir los controles de seguridad de Google Engage in.

Después de su actualización, la aplicación maliciosa localizó un servidor de comando y control (C2) que pertenece a su operador para comandos cada 150 minutos. La identificación de cada dispositivo con una instalación activa de la aplicación también se envió al servidor.

ESET dice que la aplicación pudo mostrar anuncios en el navegador predeterminado del dispositivo móvil, yendo más allá de los anuncios estándar en la aplicación, posiblemente con el propósito de fraude publicitario, así como ocultar su icono y ejecutar JavaScript arbitrario suministrado por el C2.

Fue un comando de JavaScript que se utilizó para el ataque DDoS en el sitio world wide web de ESET, lo que provocó una avalancha de tráfico no auténtico.

El ataque DDoS lanzado contra el sitio internet eset.com tuvo lugar en enero de este año. La empresa de seguridad cibernética dice que el ataque DDoS duró aproximadamente siete horas con más de 4.000 direcciones IP únicas, con miles de instancias originadas por actualizaciones activas para instalaciones de Android.

CNET: COVID-19 podría establecer una nueva norma para vigilancia y privacidad

Parece que solo un pequeño número de dispositivos de usuario ha estado involucrado en el ataque DDoS contra la empresa de ciberseguridad. Sin embargo, ESET dice que el seguimiento del C2 reveló otros scripts que se publicaron en ataques contra sitios web de comercio electrónico y noticias, muchos de los cuales se encuentran en Turquía.

ESET rastreó la fuente del DDoS e informó a Google de sus hallazgos. La aplicación ahora se ha eliminado de Google Participate in.

TechRepublic: Kaspersky: el 73% de los trabajadores no han recibido orientación sobre ciberseguridad

«Detectar este tipo de funcionalidad maliciosa no es fácil, ya que docenas de kits y marcos legítimos de desarrollo de program de Android usan la misma técnica (por supuesto, sin cargar ningún JavaScript malicioso)», anotaron los investigadores. «Esto significa que cualquier detección straightforward basada en dicho código daría lugar a muchos falsos positivos».

Las actualizaciones para Android tienen un sitio website correspondiente, i-Updater (.) Com, que permanece activo ya que el dominio en sí no es malicioso y, por lo tanto, no hay motivos actuales para una solicitud de eliminación. La aplicación maliciosa también está disponible en tiendas de aplicaciones no oficiales de terceros.

ZDNet se ha comunicado con Google y se actualizará cuando recibamos una respuesta.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia first